W tej serii krótko omówiono technologię BitLocker, która jest narzędziem bezpieczeństwa w nowoczesnych systemach operacyjnych Windows. W zasadzie architektura została opisana w artykule to narzędzie, co przy wdrażaniu samego szyfrowania dysku w domu lub w organizacji nie będzie miało większego sensu. Również z pierwszego artykułu można było dowiedzieć się, że aby w pełni wykorzystać tę technologię, komputery, dla których będzie realizowane szyfrowanie, muszą być wyposażone w taki moduł jak moduł zaufanej platformy (Trusted Platform Module, TPM), który , niestety nie można znaleźć na każdym komputerze. Dlatego w kolejnych artykułach ten cykl opisując pracę z zaufanym modułem platformy, włączony jest tylko jego emulator maszyna wirtualna. Myślę też, że warto zauważyć, że ani ten, ani kolejne artykuły z tej serii nie będą dotyczyły blokowania dysków z danymi podczas korzystania z kart inteligentnych.

Jak zapewne wiesz, funkcja BitLocker umożliwia szyfrowanie całego dysku, podczas gdy system szyfrowania plików (EFS) szyfruje tylko pojedyncze pliki. Oczywiście w niektórych przypadkach wystarczy zaszyfrować tylko określone pliki i wydawałoby się, że nie ma potrzeby szyfrowania całej partycji, ale wskazane jest używanie EFS tylko na komputerach w intranecie, które nie będą przemieszczać się między działami i biurami. Innymi słowy, jeśli Twój użytkownik ma laptopa, to musi okresowo podróżować w delegacje, a taki użytkownik ma na swoim komputerze tylko kilkadziesiąt plików, które trzeba dla niego zaszyfrować laptop lepiej nie używać zaszyfrowanego systemu plików, ale technologii BitLocker. Tłumaczy się to tym, że przy pomocy EFS nie będziesz w stanie zaszyfrować tak istotnych elementów systemu operacyjnego jak pliki rejestr systemowy. A jeśli atakujący dostanie się do rejestru twojego laptopa, może znaleźć dla siebie wiele interesujących informacji, takich jak buforowane dane domeny rachunek Twój użytkownik, hash hasła i wiele innych, które w przyszłości mogą spowodować znaczne szkody i straty nie tylko dla tego użytkownika, ale dla całej firmy jako całości. Za pomocą technologii BitLocker, w przeciwieństwie do zaszyfrowanego systemu plików, jak już wspomniano nieco wyżej, wszystkie dane znajdujące się na zaszyfrowanym dysku laptopa użytkownika zostaną zaszyfrowane na jego laptopie. Wielu może się zastanawiać: w jaki sposób inni użytkownicy w organizacji mogą korzystać z plików zaszyfrowanych przy użyciu tej technologii? W rzeczywistości wszystko jest bardzo proste: jeśli na komputerze z plikami zaszyfrowanymi przy użyciu technologii BitLocker, dostęp ogólny, wówczas autoryzowani użytkownicy będą mogli wchodzić w interakcję z takimi plikami tak, jakby na komputerze takiego użytkownika nie było szyfrowania. Ponadto, jeśli pliki znajdujące się na zaszyfrowanym dysku zostaną skopiowane na inny komputer lub na niezaszyfrowany dysk, zostaną one automatycznie odszyfrowane.

W kolejnych sekcjach dowiesz się, jak zaszyfrować system i partycje rozszerzone na laptopie, który nie obsługuje modułu TPM za pomocą system operacyjny System Windows 7.

Włącz szyfrowanie BitLocker dla partycji systemowej

Procedura włączania szyfrowania dysków funkcją BitLocker dla partycji systemowej na komputerze, który nie jest członkiem domeny, nie jest skomplikowana. Przed zaszyfrowaniem dysku systemowego uważam, że należy zwrócić uwagę na to, że na laptopie zostały utworzone trzy partycje, na których będą szyfrowane dyski, a dwie pierwsze powinny być zaszyfrowane:

Ryż. jeden. Eksplorator Windows na laptopie, gdzie dyski będą szyfrowane

Aby zaszyfrować partycję systemową, wykonaj następujące czynności:

  1. Przede wszystkim, ponieważ laptop w tym przykładzie, na którym będą szyfrowane dyski, nie ma modułu TPM, wskazane jest wykonanie kilku wstępnych czynności. Musisz otworzyć przystawkę „Edytor lokalnych zasad grupy” i przejdź do Konfiguracja komputera\Szablony administracyjne\Składniki systemu Windows\Szyfrowanie dysków funkcją BitLocker\Dyski systemu operacyjnego. Tutaj znajdziesz sześć różnych ustawień polityki. Ponieważ wspomniano wcześniej, że ten laptop nie jest wyposażony w moduł TPM, należy upewnić się, że przed załadowaniem systemu operacyjnego używany jest dysk USB zawierający specjalny klucz przeznaczony do potwierdzania uwierzytelnienia, a następnie uruchamiania systemu. Ta operacja jest wykonywana przez ustawienie zasad „Wymagaj dodatkowego uwierzytelnienia podczas uruchamiania”. W oknie dialogowym właściwości tego ustawienia zasad należy zaznaczyć opcję „Zezwalaj na korzystanie z funkcji BitLocker bez zgodnego modułu TPM”. W tym przypadku, ponieważ jest to jedyna opcja, która może nas zainteresować podczas szyfrowania dysku w Grupa robocza, zapisz zmiany. Okno dialogowe właściwości tego ustawienia zasad pokazano na poniższej ilustracji:

    2. Ryż. 2. Okno dialogowe Właściwości dla ustawienia zasad „Wymagaj dodatkowego uwierzytelniania podczas uruchamiania”

    Dostępnych jest wiele różnych ustawień zasad grupy do kontrolowania technologii BitLocker. Te opcje zostaną szczegółowo omówione w jednym z poniższych artykułów na temat technologii BitLocker.

  2. otwarty "Panel sterowania", przejdź do kategorii „System i bezpieczeństwo” a następnie wybierz "Szyfrowanie dysków bitlocker";
  3. W wyświetlonym oknie panelu sterowania wybierz partycję systemową, a następnie kliknij łącze „Włącz funkcję BitLocker”. Zdecydowanie powinieneś zwrócić uwagę na to, że możesz zaszyfrować tylko partycję, która znajduje się na dysku podstawowym. Jeśli masz partycje utworzone na dysku dynamicznym, przed zaszyfrowaniem musisz przekonwertować dysk z dynamicznego na podstawowy. Poniższa ilustracja przedstawia okno "Szyfrowanie dysków bitlocker":

    4. Ryż. 3. Okno Panelu sterowania szyfrowaniem dysków funkcją BitLocker

  4. Po uruchomieniu sprawdzania konfiguracji komputera na pierwszej stronie Kreatora szyfrowania dysków funkcją BitLocker można określić różne opcje uruchamiania. Ale ponieważ mój laptop nie ma modułu TPM, a ustawienie zasad grupy zostało zmienione, aby umożliwić szyfrowanie funkcją BitLocker na sprzęcie bez TPM, mogę wybrać tylko tę opcję "Poproś o klucz przy starcie". Pierwsza strona kreatora jest pokazana poniżej:

    5. Ryż. 4. Opcja uruchamiania funkcji BitLocker kreatora szyfrowania dysków

  5. Na stronie „Zapisz klucz startowy” W Kreatorze szyfrowania dysków funkcją BitLocker musisz podłączyć dysk flash do komputera, a następnie wybrać go z listy. Po wybraniu napędu kliknij przycisk "Ratować";
  6. Na trzeciej stronie kreatora musisz określić lokalizację klucza odzyskiwania. Klucz odzyskiwania jest mały plik tekstowy, zawierający instrukcje, etykietę dysku, identyfikator hasła i 48-znakowy klucz odzyskiwania. Należy pamiętać, że ten klucz różni się od klucza startowego tym, że służy do uzyskiwania dostępu do danych w przypadkach, gdy nie można uzyskać do nich dostępu w inny sposób. Możesz wybrać jedną z trzech następujące opcje: zapisz klucz odzyskiwania na dysku flash USB, zapisz klucz odzyskiwania w pliku lub klucz odzyskiwania wydruku. Pamiętaj, że wybierając pierwszą opcję, musisz zapisać klucze odzyskiwania i uruchamiania na różnych dyskach flash. Ponieważ zalecane jest zapisanie kilku kluczy odzyskiwania, ponadto na komputerach innych niż zaszyfrowany, w moim przypadku klucz odzyskiwania został zapisany w folder sieciowy na jednym z moich serwerów, a także na dysku w chmurze HP. Teraz zawartość klucza odzyskiwania będzie znana tylko mnie i HP, chociaż najprawdopodobniej przekonują nas o całkowitej poufności informacji. Jeśli drukujesz klucz odzyskiwania, firma Microsoft zaleca przechowywanie dokumentu w zamkniętym sejfie. Polecam po prostu zapamiętać te 48 numerów i po przeczytaniu dokumentu po prostu go wypalić :). Strona „Jak zapisać klucz odzyskiwania?” mistrzowie Szyfrowanie funkcją BitLocker pokazano na poniższej ilustracji:

    7. Ryż. 5. Zapisywanie klucza odzyskiwania danych zaszyfrowanych funkcją BitLocker

  7. Tę stronę Kreatora szyfrowania dysków można uznać za ostatnią, ponieważ na tym etapie możesz przeprowadzić kontrolę systemu BitLocker, która upewni się, że w razie potrzeby będziesz mógł z łatwością użyć swojego klucza odzyskiwania. Zostaniesz poproszony o ponowne uruchomienie komputera, aby zakończyć sprawdzanie systemu. W zasadzie ten krok nie jest obowiązkowy, ale nadal pożądane jest wykonanie ten czek. Możesz zobaczyć ostatnią stronę kreatora poniżej:

    8. Ryż. 6. ostatnia strona kreator szyfrowania dysku

  8. Natychmiast po teście POST zostaniesz poproszony o włożenie dysku flash z kluczem startowym, aby uruchomić system operacyjny. Po ponownym uruchomieniu komputera, gdy funkcja BitLocker wie, że po zaszyfrowaniu nie wystąpią nieprzewidziane okoliczności, rozpocznie się sam proces szyfrowania dysku. Dowiesz się o tym z ikony wyświetlanej w obszarze powiadomień lub przechodząc do okna "Szyfrowanie dysków bitlocker" z panelu sterowania. Sam proces szyfrowania działa w tle, co oznacza, że ​​możesz kontynuować pracę na komputerze podczas szyfrowania, jednak funkcja BitLocker będzie intensywnie obciążać procesor i wolne miejsce na zaszyfrowanym dysku. Aby zobaczyć, jaki procent dysku jest już zaszyfrowany, poszukaj ikony w obszarze powiadomień „%VolumeName% jest szyfrowany przy użyciu szyfrowania dysków funkcją BitLocker” i kliknij go dwukrotnie. Ikona powiadomienia i okno dialogowe funkcji BitLocker "Szyfrowanie dysków bitlocker" wyświetlane poniżej:

    9. Ryż. 7. Wykonaj szyfrowanie

  9. Po zakończeniu procesu szyfrowania dysków funkcją BitLocker otrzymasz powiadomienie, że wybrany dysk został pomyślnie zaszyfrowany. To okno dialogowe można zobaczyć poniżej:

    10. Ryż. 8. Pełne szyfrowanie dysków funkcją BitLocker

Dla tych, którzy wykonują szyfrowanie dysku po raz pierwszy, chcę zauważyć, że ta procedura nie jest wykonywana natychmiast i na przykład zaszyfrowanie 75-gigabajtowego dysku systemowego zajęło mi 70 minut.

Teraz, jak widać na poniższej ilustracji, w Eksploratorze Windows ikona partycji systemowej pokazuje kłódkę, co oznacza, że ​​ta partycja jest zaszyfrowana przy użyciu technologii BitLocker:

Ryż. 9. Zaszyfrowany Eksplorator Windows partycja systemowa

Wniosek

W tym artykule dowiedziałeś się, jak zaszyfrować dysk za pomocą technologii BitLocker. Proces przygotowania do szyfrowania i szyfrowanie samego dysku za pomocą GUI. Ponieważ na początku artykułu wskazałem, że ten laptop dwa dyski są zaszyfrowane, w poniższym artykule dowiesz się, jak zaszyfrować dysk za pomocą technologii BitLocker za pomocą narzędzia wiersz poleceń zarządzanie-dbe .

Czy zastanawiałeś się nad pytaniem: jak chronić informacje znajdujące się na dysku twardym? Okazuje się, że do tego nie jest konieczne instalowanie dodatkowego oprogramowania. Pomoże w tym specjalna usługa BitLocker wbudowana w system Windows 7 i nowsze. Przyjrzyjmy się bliżej, jak to działa.

Co to jest

BitLocker to technologia, która chroni informacje poprzez szyfrowanie partycji HDD. to serwis Windows który niezależnie chroni katalogi i pliki przez szyfrowanie, tworząc klucz tekstowy TPM.
TPM to kryptoprocesor, w którym znajdują się klucze chroniące dostęp do informacji. Jest używany do:

  1. Ochrona informacji, kopiowanie danych;
  2. Uwierzytelnianie.

Jak to działa

Okazuje się, że komputer przetwarza zaszyfrowane informacje, które są wyświetlane w czytelnej formie. Dostęp do niego nie jest blokowany. Ochrona zadziała, gdy spróbujesz uzyskać dostęp do informacji z zewnątrz.
Technologia opiera się na szyfrowaniu przy użyciu algorytmu AES 128 i 256. Najprostszym sposobem przechowywania kluczy jest .

Osobliwości

Możesz zaszyfrować dowolny dysk twardy (oprócz sieci), informacje z karty SD, pendrive'a. Klucz odzyskiwania szyfrowania jest przechowywany na komputerze, nośniku wymiennym lub układzie TPM.
Proces szyfrowania zajmuje dużo czasu. Zależy od mocy komputera i ilości informacji na dysku twardym. Dzięki szyfrowaniu system będzie mógł pracować z mniejszą wydajnością.
W nowoczesnych systemach operacyjnych ta technologia jest obsługiwana. Dlatego pobierz funkcję BitLocker dla systemu Windows 7 i więcej nowsze wersje nie będą potrzebne. Jest dostępny całkowicie bezpłatnie.

Szyfrowanie dysku w systemie Windows 10, jeśli na płycie jest zainstalowany moduł TPM

Jeśli pojawi się komunikat o błędzie informujący, że usługa może działać bez modułu TPM, oznacza to, że nie ma jej na płycie. Zastanówmy się, co robić.

BitLocker Windows 10, jak włączyć bez TPM

Aby zaszyfrować dysk funkcją BitLocker, wykonaj następujące kroki:

  1. Naciśnij „Win + R”, a następnie napisz „gpedit.msc”;
  2. Mijamy jak na zrzucie ekranu;
  3. Kliknij „Dyski”;
  4. Dalej, jak na zrzucie ekranu;
  5. Wybierz „Włączone”;
  6. Zamknij edytor;
  7. Kliknij „Start” - „Programy” - „Narzędzia systemowe” - „Panel sterowania”;
  8. Kliknij link „Szyfrowanie”;
  9. Dalej „Włącz”;
  10. Poczekaj, aż kontrola się skończy;
  11. Jeśli zgubisz hasło, dostęp do informacji zostanie zamknięty, więc utwórz kopię zapasową;
  12. Rozpocznie się proces przygotowania. Nie wyłączaj komputera, w przeciwnym razie partycja rozruchowa może zostać uszkodzona i system Windows nie uruchomi się;
  13. Kliknij Następny";
  14. Zapisz, którego użyjesz do odblokowania. Zalecam, aby nie było to takie samo, jak podczas logowania;
  15. Określ sposób przechowywania klucza. Służy do uzyskiwania dostępu do dysku, jeśli zapomnisz hasła. Zapisz go w: Microsoft Record Dokument tekstowy, zapisz na papierze;

    Zapisz go oddzielnie od komputera.

  16. Zalecam zaszyfrowanie całego dysku. Jest bardziej niezawodny. Kliknij Następny";
  17. Wybierz „Nowy tryb”;
  18. Zaznacz pole wyboru obok pozycji „Rozpocznij skanowanie”;
  19. W zasobniku systemowym pojawi się ikona funkcji BitLocker i powiadomienie o konieczności ponownego uruchomienia komputera;
  20. Następnie pojawi się okno do wpisania hasła. Zapisz ten, który został wskazany podczas szyfrowania;
  21. Szyfrowanie rozpocznie się po uruchomieniu systemu. Kliknij ikonę w zasobniku systemowym, aby zobaczyć, ile procent pracy zostało wykonane;

Jak wyłączyć funkcję BitLocker w systemie Windows 10?

BitLocker Windows 7, jak włączyć

Wielu użytkowników zapyta: jak pobrać funkcję BitLocker na Windows 7? Okazuje się, że nie musisz niczego pobierać. Jak również dla serii dziesiątej Windows. Usługa jest aktywowana w systemie. Działania podobne do opisanych powyżej.

BitLocker w drodze

Technologia służy do szyfrowania informacji na nośnikach wymiennych: Karty SD, zewnętrzny dysk twardy, urządzenia USB. Chroni informacje przed kradzieżą mediów.
Urządzenie jest wykrywane automatycznie przez system. Aby odszyfrować, osoba musi zarejestrować dane uwierzytelniające do odblokowania. Technologia usuwa ochronę, jeśli użytkownik zna nazwę użytkownika, hasło lub klucz odzyskiwania. Służy do ochrony wszystkich plików na nośniku. Funkcję BitLocker można pobrać z oficjalnej witryny firmy Microsoft.
Wykonaj powyższe kroki, aby zaszyfrować. W lokalnym zasady grupy, zaznacz opcje jak na zrzucie ekranu.

Windows Bitlocker 10 jak odblokować

Aby odblokować dane, używane jest hasło lub klucz odzyskiwania. Podczas szyfrowania wymagane jest hasło. Znajdujemy klucz odzyskiwania, a następnie postępuj zgodnie z sekwencją tych kroków:

Jeśli funkcja BitLocker zablokowała dysk, a klucz został zgubiony, przywróć system do utworzonego wcześniej. Jeśli nie, przywróć system do pierwotnego stanu. Aby to zrobić, przejdź do: „Ustawienia” (Win + I) - „Aktualizacja” - „Odzyskiwanie” - „Start”.

Wniosek

Omówiliśmy, jak włączyć funkcję BitLocker w systemie Windows 10. Użyj powyższych metod, aby zapewnić bezpieczeństwo danych. Najważniejsze jest zapamiętanie hasła. Jest używany nawet po wyjęciu dysku twardego z jednego komputera i podłączeniu go do drugiego.

Cześć przyjaciele! W tym artykule będziemy nadal badać systemy wbudowane w system Windows zaprojektowane w celu zwiększenia bezpieczeństwa naszych danych. Dziś to system szyfrowania dysku bitlocker. Szyfrowanie danych jest konieczne, aby zapewnić, że Twoje informacje nie będą wykorzystywane przez osoby obce. Jak się tam dostaje, to inna sprawa.

Szyfrowanie to proces przekształcania danych w taki sposób, aby dostęp do nich miały tylko odpowiednie osoby. Klucze lub hasła są zwykle używane do uzyskania dostępu.

Szyfrowanie całego dysku uniemożliwia dostęp do danych po podłączeniu twardy dysk do innego komputera. System osoby atakującej może mieć zainstalowany inny system operacyjny w celu obejścia ochrony, ale nie pomoże to w przypadku korzystania z funkcji BitLocker.

Technologia BitLocker pojawiła się wraz z wydaniem operacyjnego Systemy Windows Vista i został ulepszony w systemie Windows 7. Bitlocker jest dostępny w wersjach Windows 7 Ultimate i Enterprise, a także Windows 8 Pro. Właściciele innych wersji będą musieli szukać alternatywy.

Bez wchodzenia w szczegóły wygląda to tak. System szyfruje cały dysk i daje do niego klucze. Jeśli zaszyfrujesz dysk systemowy, komputer nie uruchomi się bez klucza. Tak samo jak klucze do mieszkania. Masz je, wpadniesz w to. Zgubiony, musisz użyć zapasowego (kod odzyskiwania (nadany podczas szyfrowania)) i zmienić zamek (wykonaj szyfrowanie ponownie innymi kluczami)

W celu zapewnienia niezawodnej ochrony pożądane jest zainstalowanie na komputerze modułu Trusted Platform Module (TPM). Jeśli tak, a jego wersja to 1.2 lub nowsza, będzie zarządzać procesem i będziesz mieć silniejsze metody ochrony. Jeśli go tam nie ma, będzie można użyć tylko klucza na dysku USB.

BitLocker działa w następujący sposób. Każdy sektor dysku jest szyfrowany oddzielnie przy użyciu klucza (klucz szyfrowania pełnego woluminu, FVEK). Wykorzystywany jest algorytm AES z kluczem 128-bitowym i dyfuzorem. Klucz można zmienić na 256-bitowy w politykach bezpieczeństwa grupy.

Po zakończeniu szyfrowania zobaczysz następujący obraz

Zamknij okno i sprawdź, czy klucz startowy i klucz odzyskiwania znajdują się w bezpiecznym miejscu.

Szyfrowanie dysków flash — funkcja BitLocker To Go

Dlaczego szyfrowanie powinno zostać wstrzymane? Aby funkcja BitLocker nie blokowała dysku i nie korzystała z procedury odzyskiwania. Ustawienia systemowe (BIOS i zawartość) partycja rozruchowa) podczas szyfrowania są ustalone na dodatkowa ochrona. Ich zmiana może spowodować blokadę komputera.

Jeśli wybierzesz Zarządzaj funkcją BitLocker, będziesz mógł zapisać lub wydrukować klucz odzyskiwania i zduplikować klucz uruchamiania

Jeśli zgubisz jeden z kluczy (klucz startowy lub klucz odzyskiwania), możesz je tutaj przywrócić.

Zarządzanie szyfrowaniem dysków zewnętrznych

Do zarządzania ustawieniami szyfrowania dysku flash dostępne są następujące funkcje

Możesz zmienić hasło odblokowujące. Hasło można usunąć tylko wtedy, gdy do odblokowania blokady używana jest karta inteligentna. Możesz także zapisać lub wydrukować klucz odzyskiwania i automatycznie włączyć zwolnienie blokady dysku dla tego komputera.

Przywracanie dostępu do dysku

Przywracanie dostępu do dysku systemowego

Jeśli dysk flash z kluczem znajduje się poza strefą dostępu, klucz odzyskiwania wchodzi w grę. Po uruchomieniu komputera zobaczysz coś takiego jak na poniższym obrazku

Aby przywrócić dostęp i uruchomić system Windows, naciśnij Enter

Zobaczymy ekran z prośbą o wprowadzenie klucza odzyskiwania

Po wprowadzeniu ostatniej cyfry, pod warunkiem, że klucz odzyskiwania jest poprawny, system operacyjny uruchomi się automatycznie.

Przywracanie dostępu do dysków wymiennych

Aby przywrócić dostęp do informacji na dysku flash lub zewnętrznym dysku twardym, kliknij Nie pamiętasz hasła?

Wybierz Wprowadź klucz odzyskiwania

i wprowadź ten okropny 48-cyfrowy kod. Kliknij Następny

Jeśli klucz odzyskiwania pasuje, dysk zostanie odblokowany

Pojawi się łącze do Zarządzaj funkcją BitLocker, w którym możesz zmienić hasło, aby odblokować dysk.

Wniosek

W tym artykule dowiedzieliśmy się, jak możemy chronić nasze informacje, szyfrując je za pomocą wbudowanego narzędzia BitLocker. To frustrujące, że ta technologia jest dostępna tylko w starszych lub zaawansowanych wersjach systemu Windows. Stało się również jasne, dlaczego ta ukryta i rozruchowa partycja o wielkości 100 MB jest tworzona podczas konfigurowania dysku za pomocą narzędzi systemu Windows.

Być może skorzystam z szyfrowania dysków flash lub zewnętrznych dysków twardych. Ale jest to mało prawdopodobne, ponieważ w formie istnieją dobre zamienniki usługi w chmurze przechowywanie danych, takie jak DropBox, Google Drive, Yandex Disk i tym podobne.

BitLocker — nowe funkcje szyfrowania dysków

Utrata poufnych danych często następuje po uzyskaniu przez atakującego dostępu do informacji na dysku twardym. Na przykład, jeśli oszust w jakiś sposób miał okazję przeczytać pliki systemowe, może próbować z ich pomocą znaleźć hasła użytkowników, wyodrębnić informacje osobiste itp.

Windows 7 zawiera narzędzie BitLocker, które pozwala zaszyfrować cały dysk, dzięki czemu dane na nim pozostają chronione przed wzrokiem ciekawskich. Wprowadzono technologię szyfrowania BitLocker Windows Vista, aw nowym systemie operacyjnym została sfinalizowana. Wymieniamy najciekawsze innowacje:

  • włączenie funkcji BitLocker z menu kontekstowego Eksploratora;
  • automatyczne tworzenie ukrytej partycji dysku rozruchowego;
  • obsługa agenta odzyskiwania danych (DRA) dla wszystkich chronionych woluminów.

Odwołaj to to narzędzie zaimplementowane nie we wszystkich wydaniach systemu Windows, a jedynie w wersjach „Advanced”, „Corporate” i „Professional”.

Ochrona dysku przy użyciu technologii BitLocker pozwoli zachować poufne dane użytkownika w niemal każdych okolicznościach siły wyższej — w przypadku utraty nośników wymiennych, kradzieży, nieautoryzowanego dostępu do dysku itp. Technologia szyfrowania danych BitLocker może być stosowana do dowolnych plików dysk systemowy, a także do wszelkich dodatkowo podłączonych mediów. Jeśli dane zawarte na zaszyfrowanym dysku zostaną skopiowane na inny nośnik, informacje zostaną przesłane bez szyfrowania.

Aby zapewnić większe bezpieczeństwo, funkcja BitLocker może korzystać z szyfrowania wielopoziomowego — jednoczesnej aktywacji kilku rodzajów ochrony, w tym metod sprzętowych i programowych. Kombinacje metod ochrony danych pozwalają uzyskać kilka różne tryby działanie systemu szyfrowania BitLocker. Każdy z nich ma swoje zalety, a także zapewnia własny poziom bezpieczeństwa:

  • tryb przy użyciu zaufanego modułu platformy;
  • tryb przy użyciu zaufanego modułu platformy i urządzenia USB;
  • tryb z wykorzystaniem zaufanego modułu platformy i osobistego numer identyfikacyjny(kod PIN);
  • w trybie przy użyciu urządzenia USB zawierającego klucz sprzętowy.

Zanim przyjrzymy się bliżej sposobowi korzystania z funkcji BitLocker, należy wprowadzić pewne wyjaśnienia. Przede wszystkim ważne jest zrozumienie terminologii. TPM to specjalny chip kryptograficzny, który umożliwia identyfikację. Taki chip można zintegrować np. w niektórych modelach laptopów, komputerów stacjonarnych, różnych urządzenia mobilne itp.

Ten chip przechowuje unikalny "klucz dostępu root". Taki „zszyty” mikroukład to kolejna dodatkowa niezawodna ochrona przed złamaniem kluczy szyfrujących. Jeśli te dane były przechowywane na jakimkolwiek innym nośniku, czy to Dysk twardy czy karty pamięci, ryzyko utraty informacji byłoby nieproporcjonalnie większe, ponieważ dostęp do tych urządzeń jest łatwiejszy do uzyskania. Dzięki „kluczowi dostępu roota” układ może generować własne klucze szyfrowania, które mogą być odszyfrowane tylko przez moduł TPM. Hasło właściciela jest generowane przy pierwszym inicjowaniu modułu TPM. Windows 7 obsługuje TPM 1.2, a także wymaga zgodnego systemu BIOS.

Gdy ochrona jest wykonywana wyłącznie za pomocą modułu TPM, podczas procesu włączania komputera dane są gromadzone na poziomie sprzętowym, w tym informacje o systemie BIOS, a także inne dane, których całość wskazuje na autentyczność sprzęt komputerowy. Ten tryb działania jest nazywany „przezroczystym” i nie wymaga żadnych działań ze strony użytkownika - następuje sprawdzenie i, jeśli się powiedzie, pobieranie odbywa się w normalnym trybie.

Ciekawe, że komputery zawierające moduł zaufanej platformy są nadal tylko teorią dla naszych użytkowników, ponieważ import i sprzedaż takich urządzeń w Rosji i na Ukrainie jest prawnie zabroniona z powodu problemów z certyfikacją. Tym samym dla nas aktualna pozostaje tylko opcja zabezpieczenia dysku systemowego za pomocą dysku USB z kluczem dostępu.

Technologia BitLocker umożliwia zastosowanie algorytmu szyfrowania do dysków danych, które używają systemy plików exFAT, FAT16, FAT32 lub NTFS. Jeśli na dysku systemu operacyjnego zastosowano szyfrowanie, dane na tym dysku muszą być zapisane w formacie NTFS, aby można było używać technologii BitLocker. Metoda szyfrowania wykorzystywana przez technologię BitLocker opiera się na silnym algorytmie AES z kluczem 128-bitowym.

Jedną z różnic między funkcją Bitlocker w systemie Windows 7 a podobnym narzędziem w systemie Windows Vista jest to, że nowy system operacyjny nie wymaga specjalnego partycjonowania dysku. Wcześniej użytkownik musiał użyć Narzędzie Microsoft Narzędzie BitLocker Disk Preparation Tool, teraz wystarczy określić, który dysk powinien być chroniony, a system automatycznie utworzy ukrytą partycję rozruchową na dysku używanym przez funkcję Bitlocker. Ta partycja rozruchowa będzie używana do uruchomienia komputera, jest przechowywana w postaci niezaszyfrowanej (w przeciwnym razie rozruch nie byłby możliwy), natomiast partycja z systemem operacyjnym będzie zaszyfrowana. W porównaniu z Windows Vista rozmiar partycji rozruchowej jest około dziesięciokrotnie mniejszy miejsca na dysku. Sekcja rozszerzona nie ma osobnej litery i nie pojawia się na liście sekcji menedżer plików.

Do zarządzania szyfrowaniem wygodnie jest użyć narzędzia w panelu sterowania o nazwie BitLocker Drive Encryption. To narzędzie to menedżer dysków, za pomocą którego można szybko szyfrować i odblokowywać dyski, a także pracować z TPM. W dowolnym momencie możesz anulować lub zawiesić szyfrowanie funkcją BitLocker w tym oknie.

⇡ BitLocker To Go — szyfrowanie urządzeń zewnętrznych

W systemie Windows 7 pojawił się nowe narzędzie- BitLocker To Go, zaprojektowany do szyfrowania dowolnych dyski wymienne- Dyski USB, karty pamięci itp. Aby włączyć szyfrowanie dysków wymiennych należy otworzyć "Explorer", kliknąć kliknij prawym przyciskiem myszy myszy na żądanym nośniku i w menu kontekstowe wybierz polecenie „Włącz funkcję BitLocker”.

Spowoduje to uruchomienie Kreatora szyfrowania dla wybranego dysku.

Użytkownik może wybrać jedną z dwóch metod odblokowania zaszyfrowanego dysku: za pomocą hasła - w tym przypadku użytkownik będzie musiał wprowadzić kombinację zestawu znaków oraz za pomocą karty inteligentnej - w tym przypadku specjalnej karty inteligentnej Wymagany będzie kod PIN. Cała procedura szyfrowania dysku trwa dość długo – od kilku minut do pół godziny, w zależności od rozmiaru szyfrowanego dysku, a także szybkości jego działania.

Jeśli połączysz się zaszyfrowanym nośniki wymienne, dostęp do magazynu w zwykły sposób będzie niemożliwe, a podczas próby uzyskania dostępu do dysku użytkownik zobaczy komunikat:

W Eksploratorze zmieni się również ikona dysku, do którego stosowany jest system szyfrowania.

Aby odblokować nośnik, musisz ponownie kliknąć prawym przyciskiem myszy literę multimedialną w menu kontekstowym menedżera plików i wybrać odpowiednie polecenie w menu kontekstowym. Po wprowadzeniu prawidłowego hasła w nowym oknie otworzy się dostęp do zawartości dysku, a następnie będzie można z nim pracować, a także z niezaszyfrowanymi nośnikami.